让 IDA 的 F5 插件失效

最新推荐文章于 2024-04-27 11:04:00 发布
最新推荐文章于 2024-04-27 11:04:00 发布
阅读量9.1k 收藏 2
点赞数 3
分类专栏: 总结 文章标签: 汇编 delphi hook function 测试 c
让 IDA 的 F5 插件失效,简单之极 (delphi and vc++)
2007年12月20日 星期四 16:03

    似乎在 IDA 中使用 F5 已经成为了时尚,可以轻易的通过IDA中的汇编码转C代码插件反汇编别人的代码,即使没有一点汇编基础的人都可以反汇编了,这对我们写的程序是极大的威 胁。唯一的办法就是加上几段花花(i like FlowrCode),让那些不懂汇编人离开反汇编的世界吧。。。

VC++ Code:

_asm

{

   jb label
   jnb label
   _emit 0xE8
label:

}

Delphi Code:

asm

begin

   jb label
   jnb label
   db $E8
label:

end;

 

很显然,这只是一段极其简单的花代码,但是对付 IDA 的   Hex-Rays Decompiler 插件却是很的效的,这段代码可以放在任意位置,如在VC++中:

NTSTATUS DriverEntry()

{

//随便位置写入即可

}

 

测试后就会出现下面这种情况了。。。

在 IDA 的 function 竟然找不到加入花代码的 Hook 函数了,如下图:

 

 

经过查找后,原来在这里:

然后 F5 试试看看可不可以把这段汇编代码转换成C代码?见下图:

 

 

哈哈。。。爽,达到我们的要求了,虽然人家还是可以看你的反汇编代码,但是总比人家直接看C代码好的多了。这招对付一些没有真本事,但又想偷学他人代码的人很有效哈。。。

qinlicang
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dcu2pat--for Delphi IDA signature generation
03-26
dcu2pat,make Delphi .dcu to .pat!! http://redplait.blogspot.com/2013/05/dcu2pat.html I wrote today some simple hack tool for creating signatures from delphi .dcu files for IDA flair The main idea is very simple - flair expects .pat file to produce .sig file with signatures. So I just add some logic to my .dcu files loader to generate .pat files in right format Supported Delphi versions: Delphi 2007 (v12) Delphi 2009 (v14) Delphi 2010 (v15) Delphi XE (v16) Delphi XE2 (v17) Download mirror Sample of using: Lets make signatures for delphi 2007 release run-time: dcu2pat.exe I:\delphi.trash\2007\lib\*.dcu wc -l .pat 26959 .pat \ida\flair\bin\sigmake.exe .pat d2007.sig : modules/leaves: 11149849/26655, COLLISIONS: 19389 After resolving of collisions (see flair\sigmake.txt for detail description): wc -l d2007.exc 786 d2007.exc \ida\flair\bin\sigmake.exe .pat d2007.sig ls -l d2007.sig -rw-rw-rw- 1 1250330 May 04 15:30 d2007.sig
为什么IDA用不了F5
山兔的博客
04-11 2228
因为IDA是要用.exe文件,就是你C语言执行后生成的文件。
关于ida f5时报错lumina无法连接到云服务器的问题
最新发布
strider1123的博客
04-27 451
在用ida的时候不知道怎么回事突然就f5不了了,报错 Decompilation failure: 4005F7: cloud: Server is not available Please refer to the manual to find appropriate actions lumina: connect: 由于连接方在一段时间后没有正确答复或连接的主机没有反应,连接尝试失败。4...
那些年使用IDA的事——防止F5错误优化
雪一梦的博客
10-04 1万+
我们做逆向的知道IDA这一神器,但是神器也会犯错,使用神器进阶的时候这时候就需要人工来辅助,下面就IDA F5中一个问题做记录。。 问题篇: 什么问题呢? 我们就拿鬼哥之前那个等级破解那个样本,我们放在IDA中看核心.so文件,看汇编代码: 然而用F5看到的伪C代码是: 显然是不对的,没有对语句分析出来,接下来我们就系问题解决。。 原理篇: 由于Java_com_gg
超级程序员工具集合
痞子龙3D编程
05-24 5199
1 调试工具   Ollydbg V1.10 正式汉化修改版+最新最全插件2.02m SmartCheck V6.20 20.54M Compuware SoftICE V4.3.1 精简版10.57M Compuware (SoftICE) Driver Studio V3.1 完全版176.52M TRW2000 V1.22 汉化修改版+全部最新插件1.47Mforwin9X 动态破解VB P
IDA小技巧之——F5不能出现伪代码
热门推荐
NoOneGroup
10-04 4万+
博客已经转移 https://noone-hub.github.io/ 打开ida,打开一个文件,我用的是安恒月赛的一个文件,出现 postive sp value has been found ,这个问题其实干扰我很久了,然后网上的很多说平衡堆栈,平衡平衡,发觉一个很长的函数,用手去计算堆栈吗,显然不是的,网上又没解释清楚,然后今天我搞懂了,就分享一下,进入正文: 首先打开optio...
IDA Pro 5.5 带 F5 插件
05-22
IDA Pro 5.5 EXE/DLL文件反编译工具,自带F5插件,带破解工具,有说明文件
IDA6.5版本下的F5插件 亲测可用 附教程 汇编转C语言
12-28
IDA6.5版本下的F5插件 亲测可用 附教程 汇编转C语言 将压缩包解压,plugins中的文件放入IDA安装目录中的plugins文件夹,替换其余文件。 在打开时直接OK,选择文件,按F5同时双击函数,即可得到对应C语言代码
ida分析函数插件ida分析函数插件
10-10
ida分析函数插件
IDA dump插件
11-18
在使用IDA 进行apk逆向中经常要 dump 内存, 使用这个插件方便dump
用python编写第一个IDA插件的实例
12-25
IDA插件是经过编译的、功能更强大的IDC脚本,与仅仅使用脚本相比,插件能够执行更加复杂的任务。与编写IDC脚本相比,python显得更为轻巧和强大,IDAPython作为IDA的一个插件,具有IDA SDK的大部分功能,能够帮助我们...
dbxida46.exe
03-30
dbxida46.exe
一个简单的 IDA f5插件问题分析
weixin_30414245的博客
10-27 980
有人提出问题,以下汇编f5结果缺失代码: .text:00000C18 Java_com_a_b_c .text:00000C18 PUSH {R3,LR} .text:00000C1A CMP R2, #2 .text:00000C1C BEQ loc_C38 .tex...
防止idaf5混淆_电子邮件地址混淆实际上可以防止垃圾邮件吗?
culiyuan8310的博客
09-22 1324
防止idaf5混淆Many people obfuscate their email addresses–typing out someguy (at) somedomain (dot) com, for example–to project themselves from SPAM bots. Do such obfuscation techniques actually work? 许多人混...
常用汇编指令介绍
询昵的博客
09-30 1739
算术左移,把操作数oprd左移m位,每移动一位,右边用0补足1位,移出的最高位进入标志位CF。DS:data segment 数据段寄存器。SS:stack segment 堆栈段寄存器。ES:extra segment 附加段寄存器。CS:code segment 代码段寄存器。
IDA使用
Starr
08-24 2643
文章目录0x00. 配置0x01. 主窗口跳转交叉参考0x02. 操作注释修改api帮助重命名标签FLIRT0x03. 数据识别格式化指令操作数指令数据转换字符串数组结构体嵌套结构体union枚举类型位成员变量0x04. 脚本和插件输出导入表SMC0x05. 调试 ida按照区块加载PE。 打开时生成4个文件: .id0,二叉树形式数据库 .id1,每个程序字节的标记 .nam,与ida的nam...
IDA解决不能f5报错问题
wumingpeng的专栏
05-18 4512
1 f5报错 2 打开栈指针 Options -> General 3找到报错的行的上面一行地址按Alt+k,改成0 5修复完后,f5就可以反编译成c的伪代码了
IDA F5堆栈不平衡的处理
lilac的博客
12-29 5498
IDA F5堆栈不平衡的处理 1.引出问题 F5时出现如图错误,一般是程序代码有一些干扰代码,让IDA的反汇编分析出现错误。比如用push + n条指令 + retn来实际跳转,而IDA会以为retn是函数要结束,结果它分析后发现调用栈不平衡,因此就提示sp analysis failed. 我们选择抖音老版本的libcms.so作为分析案例,假设Java代码如下 static { Sy...
IDA D810插件
12-25
IDA D810插件是一款用于逆向工程的多功能插件,它可以帮助用户更好地理解和分析二进制文件。该插件支持多种不同的二进制文件格式,包括PE、ELF、Mach-O等,并且可以提供高级反汇编、反编译、调试、搜索和辅助分析等功能。 IDA D810插件的主要特点包括: 1. 高级反汇编:该插件能够生成高质量的反汇编代码,并且支持多种不同的反汇编算法,包括常规反汇编、控制流图分析和符号化反汇编等。 2. 反编译:该插件可以将反汇编代码转换为更易于理解的源代码形式,帮助用户更好地理解二进制文件的功能和结构。 3. 调试支持:该插件支持多种不同的调试器,包括IDA自己的调试器、GDB和LLDB等,并且可以提供强大的调试功能,如断点、步进、观察等。 4. 搜索和辅助分析:该插件提供了一些搜索和辅助分析工具,如字符串搜索、符号搜索、符号匹配等,可以帮助用户快速定位和分析二进制文件中的特定内容。 总之,IDA D810插件是一款非常强大的逆向工程工具,可以帮助用户更好地理解和分析二进制文件,提高逆向工程的能力和效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值